X-XSS-Protection a fost un antet de securitate care există încă de la versiunea 4 a Google Chrome. A fost proiectat pentru a activa un instrument care a verificat conținutul site-ului web pentru scripturi reflectate între site-uri. Toate browserele majore au retras acum suportul pentru antet, deoarece a ajuns să introducă defecte de securitate. Este foarte recomandat să nu setați deloc antetul și să configurați o politică puternică de securitate a conținutului.
Sfat: Cross-Site Scripting este în general scurtat la acronimul „XSS”.
Reflected cross-site scripting este o clasă de vulnerabilitate XSS în care exploit-ul este codificat direct în adresa URL și afectează doar utilizatorul care vizitează adresa URL. XSS reflectat este un risc atunci când pagina web afișează date de la adresa URL. De exemplu, dacă un magazin web vă permite să căutați produse, este posibil să aibă o adresă URL care arată astfel: „website.com/search? termen=cadou” și includeți cuvântul „cadou” pe pagină. Problema începe dacă cineva introduce JavaScript în URL, dacă nu este dezinfectat corespunzător, acest JavaScript ar putea fi executat mai degrabă decât imprimat pe ecran așa cum ar trebui să fie. Dacă un atacator ar putea păcăli un utilizator să facă clic pe un link cu acest tip de încărcare utilă XSS, acesta ar putea să facă lucruri precum preluarea sesiunii lor.
X-XSS-Protection a fost menit să detecteze și să prevină acest tip de atac. Din păcate, de-a lungul timpului au fost găsite o serie de by-pass-uri și chiar vulnerabilități în modul în care a funcționat sistemul. Aceste vulnerabilități au însemnat că implementarea antetului X-XSS-Protection ar introduce o vulnerabilitate de scriptare între site-uri într-un site web altfel sigur.
Pentru a vă proteja împotriva acestui lucru, înțelegând că antetul Politicii de securitate a conținutului, în general scurtat la „CSP”, include funcționalitate pentru a-l înlocui, dezvoltatorii de browser au decis să retragă caracteristică. Majoritatea browserelor, inclusiv Chrome, Opera și Edge au eliminat suportul sau, în cazul Firefox, nu l-au implementat niciodată. Se recomandă ca site-urile web să dezactiveze antetul, pentru a proteja acei utilizatori care încă folosesc browsere vechi cu funcția activată.
X-XSS-Protection poate fi înlocuită cu setarea „unsafe-inline” din antetul CSP. Posibilitatea de a activa această setare poate necesita multă muncă în funcție de site-ul web, deoarece înseamnă că tot JavaScript trebuie să fie în scripturi externe și nu poate fi inclus în HTML direct.